le SP2 et la sécurité
Face à face
sécurité, le SP2 et la sécurité
A force de voir écrit tout et n'importe quoi sur le SP2
dans divers forums, j'ai fait une expérience personnelle,
une vraie expérience qui montre que le SP2 n'a pas plus de
sécurité face aux vers réseau que l'on connaît
aujourd'hui (Blaster, Sasser, Natchy, etc..)
le SP2 : du flan sécuritaire en
barre,
Ce test est fait en toute objectivité, je n'ai rien contre la
société Microsoft, juste que je me pose des questions sur
leurs politiques sécuritaires, moi, simple usager du
net, j'ai des doutes sur leurs dires.
Objet du test :
- Voir si la sécurité du SP2 est conforme aux dires de
certains.
- Vérification des réalités de la
sécurité grâce au SP2 (chaque étape du test
a
été effectuée d'abord avec le SP1 et ensuite avec
le SP2 dans les mêmes conditions)
Test réalisé avec :
- Windows XP Pro
- AMD K6-2 : 450MH/z 346Mo de ram,
ce test a été réalisé sur ce pc,
relié à un réseau local pour accéder au net
par
l'intermédiaire d'un routeur,
adresse IP : 192.168.0.20
routeur faisant office de passerelle : 191.168.0.1
Aucun logiciel antivirus installé ni parefeu sur le test,
simplement une installation complète de Windows XP Pro avec
toutes les options par défaut.
Aucun logiciel de protection ou de prévention installé,
pas de fichier hosts, rien de rien, juste Windows XP (ni plus, ni moins)
Puisque XP SP2 crie Haut et Fort qu'il
est sécurisé contre les attaques connues aujourd'hui, je
vais vous prouver le contraire.
Pas besoin de faire 500 tests, quelques commandes permettent de savoir
ce qui se passe en terme de connexion sur un réseau
4 images de Windows à des moments précis devraient nous
donner une opinion objective sur le sujet.
pour ce test, j'ai choisi de prendre:
- le poids de Windows SP1 en Go et de SP2 en Go
- le nombre de processus dans le gestionnaire des tâches
- le nombre de processus dans une commande tasklist /svc (
qui nous donne plus précisément le
nombre de services démarrés
.)
- les connexions réseau listées avec la commande :
netstat -ano
- Je finirai le test avec le simple programme ZebProtect
(réalisé par des membres de Zebulon) pour prouver que le
SP2 aurait pu aller plus loin en terme de sécurité
réseau.
Commençons par le poids du système :
sur C:\Windows\
installation du système plus ajout du patch SP1
total avec SP1 = 1.30Go
Installation du SP2
Total avec SP2 = 1.68 Go,
c'est à dire 380Mo supplémentaires pour optimiser la
sécurité comme annoncé.
Continuons avec la liste des processus lancés au
démarrage de la machine :
pour le SP1
Soit 18 processus par défaut
---------------------------------
Passons maintenant au SP2
soit 25 processus, soit 7 processus de plus améliorer la
sécurité de votre système d'exploitation.
On s'apercoit qu'il existe déja 2 processus svchost en plus,
wscntfy.exe, wmiadap.exe, 2 wmiprvse.exe, wuauclt.exe
-----------------------------
Regardons maintenant ce que donne la commande Tasklist /svc qui liste
tous les services démarrés sur la machine
avec le SP1:
et maintenant, la même chose avec le SP2:
comme on peut le constater :
- en rouge les nouveaux services
(DcomLaunch, BITS, SharedAccess, wscswc, TrkWks, wscntfy, stisvc,
wuauclt(2), HTTPFilter)
soit 10 services de plus que sur le SP1
- en jaune, ceux qui ne devraient plus être présents sur
un
système d'exploitation dit
"sécurisé"
car ils n'ont aucune utilité et
pourraient
être porteurs d'une faille
LmHosts, RemoteRegistry, SSDPSRV, WebClient
Je ne parle pas des autres services, mais déjà ici, je me
pose
des questions sur le bien-fondé de leur sécurité,
En ouvrant 10 services en plus pour pratiquement le même
résultat final, je commence à avoir de sérieux
doutes
sur la sécurité de ce beau SP2 (j'en avais déja
depuis sa sortie)
Je ne me suis pas encore penché sur les nouveaux services,
maintenant que j'ai installé le SP2 pour faire des tests,
j'aurai
l'occasion de voir à quoi ils servent, et je les rajouterai sur
la liste des services ( que l'on désactivera d'office)
-------------------------------------------------------------
Voici maintenant le résultat de la commande Netstat qui nous
permet de voir quels sont les ports ouverts ou en écoute sur
votre machine
avec le SP1, sans aucun navigateur pour surfer ou autre logiciel de
communication (pas de firewall - rien de rien, même pas peur :P )
On le savait déja, les ports à risque sont
présents
:
135/137/138/139/445/500/1025/1900/5000
C'est pour cela que nous avons créé Zebprotect avec les
membres
de zebulon.
L'objectif annoncé du SP2
était de lutter pour la sécurité
Le SP2 a un firewall incorporé qui ne laisse rien entrer
(firewall du SP2 activé)
en voici la preuve :
Effectivement,
plusieurs ports ne sont plus
présents
,
mais qu'en est -il des ports 135/445 toujours listés
et qui, je le rappelle, sont ceux qui ont fait l'objet de patch de
sécurité pour lutter contre
diverses
malveillances (Blaster, Sasser, Nachy,
Agobot, etc..)
sans compter ceux présents en attente : 500/1036/4500 qui ne
demandent pas grand chose pour se connecter ?
Où est la
sécurité
annoncée ???
135/445 = les 2 ports les plus sollicités par les vers
réseau depuis bientôt 2 ans
Donc, dommage que l'on soit toujours obligé de modifier des clés dans la base de registre afin de ne plus voir ces ports.
Zebprotect, simple programme
qui modifie quelques clés de votre registre:
Plus aucun port en écoute ou listé en attente de connexion quand le réseau
n'est pas sollicité
le même test avec ZebProtect et IE qui va faire un tour de surf
(toujours pas de firewall)
1ère page de démarrage présente par défaut
sur le site de
msn quand on se connecte la 1ère fois
Comme vous pouvez le constater, aucun port ouvert ou listé en
dehors de la connexion avec le navigateur
et tout cela sans aucun service ou processus d'activé.
Microsoft a amélioré sensiblement la sécurité, mais n'a pas été assez loin, dommage !
Pourquoi le firewall du SP2 laisse tout sortir ?
BILAN DU SP2
380Mo supplémentaires dans le système + 10 services, est-ce que cela vaut le coup de mettre le SP2
si votre système est déja bien protégé ?
Malheureusement : oui, car Microsoft a décidé de modifier sa politique et faire en sorte que le SP2 soit une obligation pour faire des mises à jour du système.
Tesgaz le : 26/01/2005
- Article suivant : Désinstaller Norton proprement
- Retour : Divers.
- Haut de page -